Bilgisayar Suçları Ne Kadar Ciddi? Bu soru 60’lı yıllarda sorulsaydı bilgisayarla suç mu işlenirdi denilecekti muhtemelen. Çünkü bilgisayarlar devasa boyutlardaydı ve düşünülebilecek suç tipleri ancak bunların fiziki olarak sabote edilmesi olabilirdi. 70’li yıllarda da bu soruya çok ciddi cevaplar verilmeyebilirdi. Çünkü bilgisayarlar sadece bazı çevrelerin elindeydi ve internet daha çok yeni bir olguydu ( yine de bu yıllara ait kayıtlara geçen bilgisayar aracılığıyla işlenen suçlar vardır). 80’li yılların başında ise IBM?in ilk kez kişisel bilgisayarları geliştirmesi ile bilgisayar birçok eve girmeye başladı aynı zamanda internette gelişmeye başlamıştı. Ve yavaş yavaş efsanevi hacker hikayeleri yayılmaya başladı. İnternetin sınırlı çevrelerden çıkıp herkesin kullanımına açılmasıyla şimdiye dek hiçbir ülkenin ceza kanunlarında tanımlanmayan suç tipleri ve suçlular ortaya çıktı.
Bugün bilgisayar suçları veya tercih edilen diğer bir deyimle sibersuçlar geniş bir yelpazeye yayılmış durumdadır. Bunlara örnek olarak aşağıdaki suç tipleri verilebilir:
- İçerdekilerin (örneğin çalışanların) yetkisiz girişleri,
- Dışardakilerin (örneğin hackerların) sistem girişleri,
- Tescilli bilgilerin çalınması (örneğin kullanıcı adının ve şifresinin çalınması),
- Bilgisayarlar kullanılarak ekonomik dolandırıcılık,
- Bilgi veya ağların sabotajı,
- Ağ trafiğinin bozulması
- Bilgisayar virüslerinin, truva atlarının ve diğer tip kasıtlı kodların yazımı ve dağıtılması,
- Yazılım korsanlığı,
- Fikri haklara, marka, patent ve endüstriyel tasarımlara tecavüzler
- Kimlik hırsızlığı,
- Ticari sırların çalınması,
- Diğer ekonomik suçlar( banka hesaplarına girilmesi, kredi kartı numaralarının çalınması)
- Cinsel taciz, hakaret, tehdit
- Çocuk pornografisi
- Terörizm
Bu liste daha da genişletilebilir.
Gözlediğim kadarıyla bilgisayar suçları ülkemizde adam öldürme, gasp, terör gibi suçların yanında çok ciddi bir suç olarak değerlendirilmiyor. Yaygın kanı bu suçları çocuk yaştaki veya genç yaştaki kişilerin bir gençlik hevesi ve merakla işlediği yönünde. Medyada ve internet üzerinde bilgisayar suçlarını işleyenler çok zeki, çok karizmatik insanlar olarak gösterilip efsane haline getiriliyorlar. Konu böyle yansıtılırken işin başka bir yönüne ise hiç yer verilmiyor: Suçun mağdurlarına ne olduğu, nasıl ve ne kadar zarar verildiği, verilen zararların bireyler veya kuruluşlar üzerindeki etkileri veya muhtemel etkileri, geri planda kullanılan teknikler, saikler, destekler, hukuki durumun ayrıntılı analizi gibi buzdağının görünmeyen kısmı hep gözardı ediliyor.
Bu yazı kendilerini bekleyen güzel bir geleceği kendi elleriyle karartabilecek gençlerin, bilgisayarla çalışan şirketlerin ve kurum ve kuruluşların, askeri makamların, emniyet güçlerinin ve hukuk uygulayıcılarının dikkatlerini çekmek için yazılmıştır. Dar bir hacimde örnek niteliğindeki bazı olaylar özetlenerek bilgisayar suçlarının ciddi suçlardan olup olmadığı incelenmiştir.
1. Kaos ve Çocuk Oyuncağı :
a) Kod adı “Condor”
Yıl 1981. İleride kendisini tüm internet dünyasının tanıyacağı Condor kod adlı Kevin Mitnick Pasifik Bell anahtarlama istasyonundan bilgisayar çalmakla suçlandı.
Yıl 1982. Mitnick Kuzey Amerika Hava Savunma Komutanlığı bilgisayarına girerek adını duyurdu. Ayrıca Kaliforniya’daki tüm telefon anahtarlama merkezlerine erişti ve Manhattan’daki üç adet merkezi telefon şirketinin geçici olarak kontrolünü ele geçirdi.
Yıl 1988. 25 yaşındaki Mitnick MCI ve Digital Equipment şirketlerinin güvenlik çalışanlarının elektronik postalarını ele geçirdi. Digital Equipmant onu bilgisayar işlemlerine 4 milyon dolar zarar vermekle ve 1 milyon dolar değerindeki yazılımı çalmakla suçladı. Mitnick 1 yıl hapse mahkum edildi ve Kaliforniya Lompoc’taki federal cezaevine konuldu.
Yıl 1993. Kaliforniya eyalet polisi Kevin Mitnick hakkında tutuklama müzekkeresi çıkardı. Mitnick Kaliforniya Motorlu Araçlar Departmanı?nın veritabanlarından sürücü belgelerini çalmakla suçlanıyordu.
Yıl 1994, yılın ilk günü. Mitnick San Diego Supercomputer Center’da bulunan Tsutomu Shimomura’nın sistemine girdi. Shimomura Mitnick?in tutuklandığı Ocak 1995’e kadar internet üzerinde Mitnick’i kovaladı.
21 Ocak 2000’de 1792 günden sonra federal cezaevinden çıktı.
Mitnick?in tüm eylemleri boyunca verdiği toplam zarar, savcıların belirlediğine göre yaklaşık olarak 291.8 milyon dolardı .
Bu ciddi bir miktar mı?( Afganistan’daki Türk Birliği sebebiyle Türkiye’ye yapılacak 229 milyon dolarlık yardım ile karşılaştırınız lütfen ).
Mitnick hukuk uygulayıcıları tarafından kamunun siber düşmanı olarak tanımlandı. Karşıt görüştekilere göre ise özellikle bilgisayar yeraltı dünyası ve onun sempatizanları Mitnick’i bir kurban ve insan hakları savunucusu olarak tanımladılar.
İşte bir efsane ve kısaca yaptıkları ve yaşadıkları. Ardında 291.8 milyon dolarlık bir zarar ve su yüzüne çıkmamış daha başka zararlar bırakan biri. Pek de çocuk oyuncağı değil ne dersiniz?..
b) Rome Laboratuarları Davası; kod adları “Datastream Cowboy” ve “Kuji”:
Yer ABD hava kuvvetlerinin birinci kumanda ve kontrol araştırma merkezi olan Griffis Hava Kuvvetleri üssündeki Rome Hava Geliştirme Merkezi.
Tarih 28 Mart 1994. Rome laboratuarlarının sistem yöneticisi Rome laboratuarlarına link veren bir sisteme kurulmuş olan bir şifre koklayıcı farkediyor. Sistem yöneticisi derhal Savunma Bilgi Sistemleri Bürosu’nu ( DISA ) bilgilendiriyor ve bilinmeyen bir kişinin Rome Labs ağına giriş yaptığını bildiriyor. DISA Bilgisayar Acil Cevap Timi ( CERT ) Hava Kuvvetleri Özel Soruşturma Bürosu’na ( AFOSI ) bir hack girişimi olduğunu rapor ediyor. AFOSI de Texas San Antonio?daki karargahta bulunan Hava Kuvvetleri Bilgi Savaşı Merkezi?ne ( AFIWC ) bu durumu rapor ediyor. Bundan sonra da sibersuçlar soruşturmaları uzmanı ve güvenlik uzmanlarından oluşan bir AFOSI timi Rome Labs’a gönderiliyor.
Timin yaptığı incelemede iki hacker’ın Rome Labs ağına dahil olan 7 adet bilgisayara giriş yaptığını ve sınırsız giriş hakkı kazandıklarını, bilgi dosyalarını indirdiklerini ve herbir bilgisayara gizlice sniffer yerleştirdiklerini tespit ettiler. Tüm Rome Labs laboratuarlarında tespit edilen snifferların sayısı ise 30 olarak belirlendi. Buradaki sistemler çok hassas araştırma ve geliştirme bilgilerini içeriyordu.
Sistem güvenlik dosyaları incelendiğinde aslında hack faaliyetlerinin ilk kez 23 Mart’ta başladığı anlaşıldı. 5 gündür sistemin hack edildiğinden kimsenin haberi yoktu. 100’den fazla kullanıcı hesabının şifreleri ve kullanıcı adları elde edilmişti. Kullanıcıların elektronik postaları okunmuş, değiştirilmiş veya silinmişti. Hassas savaş alanları simulasyon programı çalınmıştı. Dahada fazlası hacker’lar Rome Labs sistemini diğer askeri, hükümet ve araştırma merkezleri sistemlerine ciddi saldırılar yapmak için sıçrama noktası olarak kullanmışlardı.
Tim hackerları yakalayabilmek için birkaç sistemi açık bırakarak bir tuzak olarak kullanmaya karar verdi.
Standart yazılımlar kullanılarak hackerların iki farklı internet servis sağlayıcı şirketi kullandıkları saptandı; Washington’daki cyberspace.com ve New York’taki mindvox.phantom.com
AFOSI Yasal Danışma Bürosu ile Adalet Bakanlığı Bilgisayar Suçları Bölümü işbirliği yaparak Rome Labs’ın ağını eş zamanlı izlemeye aldılar. Ayrıca gelişmiş bir sniffer programını kurdular. Ve hackerların bir hata yapmalarını beklemeye başladılar.
İzleme çalışmaları sırasında hackerların kod adlarının “Datastream Cowboy” ve “Kuji” olduğunu belirlediler. En sonunda Datastream Cowboy ile temasa geçen bir araştırmacı ondan bir elektronik posta elde etmeyi başardı. Bu elektronik postadan hackerın İngiltere’de yaşadığı tespit edildi. Araştırmacı hackerla yaptığı elektronik posta yazışmalarından onun 16 yaşında olduğunu ve onun “.mil” uzantılı sitelere saldırı yapmaktan hoşlandığını çünkü onların çok korunan siteler olduğunu düşündüğünü öğrendi.
Tim hackerlardan birinin İngiltere’de olduğunu öğrenince Scotland Yard?la temas kurdu. Bu arada izlemeler de sonuç vermiş ve Datastream Cowboy’un online aktiviteleri belirlenmişti.
İzlemeler devam ederken Datastream Cowboy Rome Labs’tan Nwe York’taki Enerji Departmanı Brookhaven Ulusal Laboratuarlarına bir internet araştırma yazılımı ile saldırı yaptı. Bu arada Kuji de Litvanyadaki bir İSS üzerinden Goddard Uzay Uçuş Merkezi’ne bir atak yaptı. Ve bazı hassas bilgileri indirmeye başladı bunun üzerine izleme ekibi merkezin bağlantısı kesti. Kuji ayrıca Ohio’daki Wright-Patterson Hava Kuvvetleri üssündeki Hava Kuvvetleri ile NASA arasındaki ortak bir projenin bulunduğu Ulusal Hava-Uzay Uçak Ortak Program Bürosu’na girdi. Ayrıca Rome Labs üzerinden NATO’nun Brüksel’deki karargahına saldırdı.
Bu arada Scotland Yard Datasream?in adresini tespit etmişti. Datastream bu kez de Güney Kore Atom Araştırmaları Enstitüsü’nün sistemlerine girip tüm bilgileri download etti ve Rome Labs?ın sistemine bunları yükledi.
12 Mayıs’ta Soctland Yard Datastream’in evine baskın düzenledi. Baskında 16 yaşındaki Richard Pryce yakalandı. Soruşturmacılar Datastream?in kullandığı teçhizatı görünce çok şaşırdılar çünkü o sadece 25 Mhz 486 SK 170 megabayt hard drive?ı olan bir bilgisayar kullanıyordu. Datastream tutuklandı ve 1990 tarihli Bilgisayar Suistimali Kanunu?na muhalefetle suçlandı. Datastream internete çalıntı kredi kartı numaraları ile bağlandığını da itiraf etti. Bu kredi kartı numaralarını da internetten bulduğu bir programla çalmıştı.
Tim Kuji?ye ulaşamamıştı. Datastream Kujı ile fiziksel olarak hiçbir zaman karşılaşmadığını sadece internet üzerinden tanıdığını belirtti. Datastreamın tutuklanmasından iki sene sonra Scotland Yard dedektifleri 21 yaşındaki Matthew Bevan?a ulaştı. Bu kişi Kuji kod adlı kişiydi.
Kuji ile yapılan bir görüşmede bütün bunları ne için yaptığı sorulunca verdiği cevap çok ilginçtir: ?Komplo teorileriyle ilgili veya UFO?larla ilgili bilgi arıyordum. Bunlarla ilgili bilgilerin bu sitelerde olacağını düşünerek güvenlikleri çok zayıf olan bu sitelere girdim. Okuldan gelince bambaşka bir dünyaya giriyordum. Günün kalan kısmı boyunca diğer dünyada yaşıyordum. Okuldayken kendi kendime diyordum ki dün gece NASA?yı hack ettim, ne yaptım ben?..?
Bu eylemler ABD Hava Kuvvetlerine 211.722 dolar olarak hesaplanan miktarda zarar vermiştir. Bu miktara araştırma masrafları dahil değildir. Diğer saldırıya uğrayan federal kuruluşlar ( NASA gibi ) ise herhangi bir zarar açıklamasında bulunmadılar
İşte iki gencin yaptıkları. Verdikleri maddi zarar bir yana burada yapılanların en ürkütücü yanı ulusal güvenlik açısından meydana gelebilecek ve onarılamayacak zararlardır. Eğer Atom Araştırma Merkezi?nden bilgileri çalına ülke güney değil de Kuzey Kore olsaydı acaba ne olurdu? Bu günlerde ABD ile Kuzey Kore arasında nükleer silahlar sebebiyle yaşanan gerginlik bu olayın yaşandığı yıllarda da gündemde olan bir konuydu ve Kuzey Kore bu olayı bir savaş sebebi sayabilirdi. Çünkü tüm bilgiler ABD?nin bir araştırma laboratuarına aktarılmıştı.
2. Bilgisayar Suçlarına İlişkin Bazı Tablolar ve İstatistikler :
Aiağıdaki bazı tablo ve istatistikler bilgisayar suçlarının ciddiyeti konusunda bize bir fikir verebilecektir.
Ne kadar para kayboldu?
Suç Tipleri
Yıllık Kayıplar:
Bilgi Hırsızlığı
1997 1998 1999 2000
20,048,000 $
33,545,000 $
42,496,000 $
66,708,000 $
Sabotaj
4,285,850 $
2,142,000 $
4,421,000 $
27,148,000 $
Telekom Dinlemeleri
1,181,000 $
562,000 $
765,000 $
991,200 $
Dışarıdakilerin Sistem Girişleri 2,911,700 $
1,637,000 $
2,885,000 $
7,104,000 $
İçeridekilerin İnternet Erişimini Suiistimal Etmeleri
1,006,750$
3,720,000 $
7,576,000 $
27,984,740 $
Dolandırıcılık 24,982,000 $ 11,239,000 $ 39,706,000 $ 55,996,000 $
Servisin Yoksayılması – 2,787,000 $ 3,255,000 $ 8,247,000 $
Spoofing 512,000 $ – – –
Virüs 12,498,150 $ 7,874,000 $ 5,274,000 $ 29,171,700
İçeridekilerin Yetkisiz Girişleri 3,991,605 $ 50,565,000 $ 3,567,000 $ 22,554,500 $
Telekom Dolandırıcılığı 22,660,300 $ 17,256,000 $ 773,000 $ 4,028,000 $
Aktif Hat Dinlemeleri – 245,000 $ 20,000 $ 5,000,000 $
Laptop Hırsızlığı 6,132,200 $ 5,250,000 $ 13,038,000 $ 10,404,300 $
Toplam Yıllık Kayıplar 100,119,555 136,822,000 $ 123,779,000 $ 265,568,240 $
Toplam Kayıp 626,306,795 $
Tablo 1: ABD?de bilgisayar suçlarından doğan ekonomik kayıplar
Şekil 2: Cevaplayanların Çalışan Sayıları
Şekil 3: Bilgisayar sistemlerinize yetkisiz girişler yapıldı mı?
Şekil 4: Atak Noktaları
Şekil 5: Saldırı veya Kötüye Kullanma Tipleri
Şekil 6: Web Sitenize yetkisiz giriş yapıldı mı veya kötüye kullanma oldu mu?
Şekil 7: Saldırı veya Kötüye Kullanmadan Sonra Hangi Yolu İzlediniz?
Şekil 8: Yargı Makamlarına Rapor Etmemenin Sebepleri
Tablo 2: Bilgisayar Suçları Organizasyon Karakteristikleri:
Suçlu Kategorileri Organizasyon Sebepler(Saikler)
Uluslararası Bağlantılar
Gruplar
Yapısal Olmayan Organizasyonlar Üstün grup saiki Dünyadaki diğer gruplarla karşılıklı çalışma, görüş alışverişinde bulunma
Bireyler Organizasyon yapısı olmadan gerçekten tek başına olanlar Akli meydan okuma saiki Cracker haber gruplarına üye olma ve cracker dergilerine abone olma
Casuslar Haber alma örgütlerinin desteklediği organizasyonlar Para veya ideolojik saikler Bilgisayar ağlarını kullanarak dünyadaki hedef bilgisayarlara sızma
Dolandırıcılar,Emniyeti Suistimal Edenler Yalnız olarak veya küçük suç grupları olanlar Para, güç Uluslararası para transfer sistemlerini sağlayan hatları kullanma
Kullanıcılar Genellikle saldırı yapılan yerde çalışanlar İntikam, güç, akli meydan okuma, hayal kırıklığına uğrama Yok
Tablo 3: İşletimsel Karakteristikler
Suçlu Kategorileri Planlama Uzmanlık Düzeyi Kullanılan Taktikler ve Metodlar
Gruplar Ayrıntılı planlama Yüksek Bilgisayar ağlarını kullanarak hedef bilgisayarlara giriş; diğer crackerlar ve gruplarla bilgi değiş-tokuşu
Bireyler Girişimden önce ağ üzerinde çalışma Ortadan yüksek seviyeye kadar Ağlardaki hataları ve açıkları kullanma ve dikkatli araştırma
Casuslar Ayrıntılı planlama Yüksek Bilgisayar ağlarını kullanarak hedef bilgisayarlara giriş, veri koleksiyonlarından faydalanma
Dolandırıcılar,Emniyeti Suistimal Edenler Suç yolunda dikkatli planlama Ortadan yüksek seviyeye kadar Tuzak kapılar, hatta girme gibi temel düzeyde sistem giriş taktikleri
Kullanıcılar Ayrıntılı planlama Değişken; ortadan yüksek seviyeye kadar olabilir. Tuzak kapılar, truva atları, veri değiştirmeleri
Tablo 4: Kaynak Karakteristikleri
Suçlu Kategorileri Eğitim Düzeyi İhtiyaç Duydukları
Minimum Araçlar Destekleyenler
Gruplar Gayriresmi yüksek derecede Modemli temel bilgisayar ekipmanı Benzer gruplar
Bireyler Deneyimle uzmanlık kazanma Modemli temel bilgisayar ekipmanı Bilgi değişimleri
Casuslar Çeşitli uzmanlık düzeyleri Modemli temel bilgisayar ekipmanı;bazı durumlarda karmaşık araçların kullanımı Haberalma servislerinin desteği
Dolandırıcılar,Emniyeti Suistimal Edenler Bazı programlama deneyimi Modemli bilgisayar veya hedef bilgisayara giriş Organize suç örgütleri olabilir
Kullanıcılar Temel seviyeden ileri seviyeye kadar programlama bilgisi Hedef bilgisayara giriş Yok
3. Sonuç :
Yukarıda belirttiğimiz iki dava ve verdiğimiz istatistikler bilgisayar suçlarının ne kadar ciddi suçlar olduğunu anlatmaktadır. Gecenin bir yarısında ev telefonunuzu arayan birisinin web sitenizin domain adresini elde ettiğini söylemesi veya modeminizden konuşma sesleri gelmesi, bir sabah baktığınızda tüm bilgilerinizin yok olduğunun görülmesi, birilerinin nükleer silahların ateşleme mekanizmalarını harekete geçirebilme ihtimali, elektrik enerjisi üreten santrallerin işlevlerinin kesintiye uğratılması, binlerce kişinin kredi kartı numaralarının çalınması gibi eylemler can sıkıcı veya gayri ahlaki olmaktan öteye çok çok ciddi suçlar teşkil etmektedir.
Bu eylemleri gerçekleştirenler olarak genelde yaşı küçük çocuklar gösterilmektedir. Bu kişilerin bu eylemleri yaparken sadece merak veya kendini ispatlama gibi bir saikle hareket ettiklerini düşünmek biyik bir yanılgı olacaktır. Hiç kimse bu kişilerin birilerinin hesabına çalışmadığını garanti edemez. Bu çocuklardan başka ileri yaşlardaki kişiler de bunu yapabilir.Sonuçta bu suçlar belli yaş gruplarına atfedilemez.
Bilgisayar suçları ciddi suçlardır ve dünya için büyük bir tehlike arz etmektedir. Şimdiye dek hiçbir suç bu kadar yaygın olmayı başaramıştır. İnternetin sınır tanımayan karakteri sebebiyle eylemler dünyanın herhangibir yerinde gerçekleştirilebilir. Takip zorluğu bu kişilerin yasaların elinden kaçmasını sağlamaktadır. Sorun ancak uluslararası işbirliği ile çözülebilir.
Umarım ulusal güvenliğimiz için çok önemli olan bu konuda yargı makamları daha bilinçli hareket ederler. Ayrıca yasama organı da bu konuya eğilmeli ve caydırıcı önlemler getirmelidirler. Polis teşkilatında ve askeriyede bu konunun ciddiyeti iyice anlatılmalıdır. Şirketler personeline güvenlik eğitimi vermelidir. Bu suçlara ilişkin yayınlar yapılarak bu tür eylemleri dünyanın en önemli işi olarak gören kişilere yaptıklarının veya yapacaklarının muhtemel sonuçları anlatılmalıdır. Kevin Mitnick gibi kişiler örnek alınacak kişiler olamazlar. Sahip olduğu bilgiyi, yeteneği suç işlemek için kullanan hiçkimse örnek alınacak kişi değildir. Bu sebeple çocuklarımızın internetten hazır indirdikleri programlarla ( ne olduğunu, nasıl yazıldığını vs. bilmeden) insanlara zarar vermek için saatlerini günlerini harcayıp asosyal ve potansiyel suçlu haline gelmelerini engellemek için onların enerjilerini iyi yönlere kanalize etmeliyiz. Örneğin internet kafelere ilişkin yapılacak düzenlemeler bu hedef doğrultusunda iyi bir başlangıç olabilecektir. Medyanın da bu konuyu özendirici yayınlar yapması engellenmelidir. Suç ne çeşit olursa olsun, kim tarafından yapılırsa yapılsın suç olmaya devam eder.
Her hacker yakalanır, hiçbir suç cezasız kalmaz.
Av. Ali Osman Özdilek
29.12.2002 Montreal
Kaynaklar:
1. Cyberpunk: Outlaws and Hackers on the Computer Frontier, Katie Hafner ve John Markoff
2. Takedown: The Pursuit and Capture of Kevin Mitnick, America?s Most Wanted Computer Outlaw-By the Man Who Did It, Tsutomu Shimomura ve John Markoff
3. The Fugitive Game: Online With Kevin Mitnick, Jonathan Littman
4. Fighting Computer Crime: A New Framework for Protecting Information, Donn Parker
5. CSI/FBI Computer Crime and Security Survey 2000 yılı raporu
6. Tangled Web, Richard Power